The invention discloses a distributed denial of service attack protection method and system integration and load balancing, the method comprises the following steps: judging the received message type, according to the type of the message on the protection modules corresponding to types of the message transmission to the message of the detection, attack and normal message message; protection module corresponding to the type of the message of the attack packet filtering or sending the message to the normal kernel thread module; the kernel thread module according to the type of the message to modify the message and send. The invention will be distributed denial of service protection and load balancing function is integrated into the same machine, to solve the cost problem caused by the individual protective equipment and protective equipment, and load balancing equipment can cooperate more efficiently; to reduce the amount of message copies of load balancing, to avoid affecting the performance of equipment.
【技术实现步骤摘要】
分布式拒绝服务攻击防护与负载均衡一体化的方法和系统
本专利技术涉及计算机通信领域,特别涉及一种分布式拒绝服务攻击防护与负载均衡一体化的方法和系统。
技术介绍
分布式拒绝服务攻击(DistributedDenialofService,DDoS)是目前网络攻击中最常见的手段,具备简单、暴力、攻击效果好的特征,能够对被攻击目标的服务造成很大的影响。随着互联网的发展,当前的攻击呈现出攻击带宽越来越大、攻击越来越频繁的特征,造成的影响也越来越严重。DDoS针对的是破坏被攻击目标的“可用性”,该攻击方式利用目标系统网络服务功能缺陷或者直接消耗其系统资源,使得该目标系统无法提供正常的服务。对于节点来说,常用的防护方式是部署硬件防护设备进行DDoS攻击的防护。同时节点通常部署有负载均衡设备,以实现流量在服务器集群之间的负载均衡,达到更好的性能,常用的负载均衡工具是Linux虚拟服务器(LVS),在非常多的互联网公司的服务中,已经被大量用于节点内部的负载均衡。然而现有技术存在的问题是:(1)节点DDoS的防护由于需要部署硬件,会增加成本;(2)单独的防护设备与负载均衡设备相互独立,容易出现连接状态不统一,从而使得防护及流量处理出现问题;(3)负载均衡设备处理流程较多,影响整体系统的性能。
技术实现思路
为了解决现有技术的问题,本专利技术实施例提供了一种分布式拒绝服务攻击防护与负载均衡一体化的方法和系统。所述技术方案如下:一方面,一种分布式拒绝服务攻击防护与负载均衡一体化的方法,包括以下步骤:判断接收到的报文的类型,根据报文的类型将报文传输给与报文的类型对应的防护模块进行检测,得 ...
【技术保护点】
一种分布式拒绝服务攻击防护与负载均衡一体化的方法,其特征在于,包括以下步骤:判断接收到的报文的类型,根据所述报文的类型将所述报文传输给与所述报文的类型对应的防护模块进行检测,得到攻击报文和正常报文;与所述报文的类型对应的防护模块将所述攻击报文进行过滤或将所述正常报文发送给内核线程模块;所述内核线程模块根据所述报文的类型修改所述报文并发送。
【技术特征摘要】
1.一种分布式拒绝服务攻击防护与负载均衡一体化的方法,其特征在于,包括以下步骤:判断接收到的报文的类型,根据所述报文的类型将所述报文传输给与所述报文的类型对应的防护模块进行检测,得到攻击报文和正常报文;与所述报文的类型对应的防护模块将所述攻击报文进行过滤或将所述正常报文发送给内核线程模块;所述内核线程模块根据所述报文的类型修改所述报文并发送。2.如权利要求1所述的分布式拒绝服务攻击防护与负载均衡一体化的方法,其特征在于,根据所述报文的类型将所述报文传输给与所述报文的类型对应的防护模块进行检测,得到攻击报文和正常报文,与所述报文的类型对应的防护模块将所述攻击报文进行过滤的步骤具体包括:对传输控制协议报文的传输速率进行统计,当所述传输控制协议报文的传输速率超过阈值时,对超过阈值的所述传输控制协议报文进行SYNCOOKIE验证、连接表查找或HTTP行为验证,过滤所述攻击报文;对源网络协议地址和目的网络协议地址的用户数据报协议报文的传输速率和带宽进行统计,当所述用户数据报协议报文的传输速率或带宽超过阈值时,丢弃所述用户数据报协议报文;对目的网络协议地址的互联网控制报文协议报文的带宽进行统计,当所述互联网控制报文协议报文的带宽超过阈值时,丢弃所述互联网控制报文协议报文。3.如权利要求2所述的分布式拒绝服务攻击防护与负载均衡一体化的方法,其特征在于,所述对传输控制协议报文的传输速率进行统计,当超过阈值时认为有攻击发生,进行SYNCOOKIE验证、连接表查找或HTTP行为验证对所述攻击报文进行过滤的方法包括:SYNFLOOD检测防护:对各目的网络协议地址的SYN报文进行统计,当超过阈值时,开启防护,采用SYNCOOKIE的方式进行验证,对所述攻击报文回应带有COOKIE的SYN/ACK报文,并对后续ACK报文进行COOKIE验证;ACKFLOOD检测防护:根据连接表进行防护,对于合法的握手ACK报文,传入内核创建连接,对于非法的ACK报文,则直接丢弃;HTTPFLOOD检测防护:对超文本传输协议请求报文进行统计,当超过设定的阈值时,开启防护,向发起请求的网络协议地址发送加入验证字段的超文本传输协议响应报文,并对所述网络协议地址后续发来的报文验证所述字段。4.如权利要求1-3任一项所述的分布式拒绝服务攻击防护与负载均衡一体化的方法,其特征在于,所述内核线程模块根据所述报文的类型修改所述报文并发送的步骤具体为:所述内核线程模块通过共享内存方式接收所述正常报文,根据所述正常报文的类型,查找并修改所述正常报文的目的地址,然后封装所述正常报文进行发送。5.如权利要求4所述的分布式拒绝服务攻击防护与负载均衡一体化的方法,其特征在于,所述根据所述正常报文的类型,查找并修改所述正常报文的目的地址,然后封装所述正常报文进行发送的具体步骤为:对于传输控制协议类型的报文,判断是否为握手报文;如果是所述握手报文,则调用Linux虚拟服务器的接口创建连接,并根据连接表中下一跳的物理地址信息,修改所述握手报文,再将所述握手报文封装后放入发送队列等待发送;如果不是所述握手报文,则根据所述报文在Linux虚拟服务器的连接表中是否含有连接及是否为结束报文进行处理。6...
【专利技术属性】
技术研发人员:马涛,张肖洒,欧怀谷,
申请(专利权)人:网宿科技股份有限公司,
类型:发明
国别省市:上海,31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。